La APT iraní Nimbus Manticore (también conocida como Screening Serpens y UNC1549) llevó a cabo tres campañas consecutivas entre febrero y abril de 2026, dirigidas contra organizaciones de los sectores aeronáutico, de software y de petróleo y gas en EE. UU., Europa, Oriente Medio y Australia. Según investigadores de Check Point y Palo Alto Networks Unit 42, el grupo empleó un backdoor previamente no documentado, MiniFast, la técnica AppDomain hijacking y, por primera vez, recurrió a SEO poisoning para la entrega de software malicioso, lo que evidencia una expansión significativa de su arsenal y de su ritmo operativo.

Tres oleadas: cronología de las campañas

Según el informe de Check Point Research, la actividad del grupo se divide en tres fases claramente diferenciadas, cada una de las cuales demuestra una evolución de las tácticas.

Febrero de 2026: phishing con señuelos laborales y MiniJunk

La primera oleada se dirigió contra empleados de empresas de los sectores de software y aviación en Arabia Saudí y Australia. A las víctimas se les ofrecían ofertas de empleo ficticias que las incitaban a descargar un archivo ZIP alojado en la plataforma OnlyOffice. Al ejecutar el archivo legítimo incluido en el archivo comprimido se utilizaba la técnica de AppDomain hijacking para cargar la biblioteca DLL maliciosa MiniJunk.

Marzo de 2026: Zoom troyanizado y despliegue de MiniFast

La segunda campaña mantuvo el enfoque basado en AppDomain hijacking, pero amplió el vector de entrega. El grupo empleó un instalador de Zoom troyanizado, presumiblemente distribuido mediante invitaciones falsas a videoconferencias. El resultado de la cadena de infección fue el despliegue del nuevo backdoor MiniFast (también denominado MiniUpdate).

Abril de 2026: SEO poisoning y falso SQL Developer

La tercera oleada marcó un cambio fundamental en la táctica. En lugar de phishing dirigido, el grupo creó un sitio falso de descarga de Oracle SQL Developer y lo posicionó mediante SEO poisoning. Para aumentar la visibilidad del recurso en los motores de búsqueda Bing y DuckDuckGo se registraron decenas de dominios que apuntaban al dominio malicioso principal getsqldeveloper[.]com, generando señales de reputación artificial basadas en el perfil de enlaces. Según Check Point, se trata del primer caso documentado de uso de SEO poisoning por parte de Nimbus Manticore para la entrega de software malicioso.

Perfil técnico del backdoor MiniFast

MiniFast es un backdoor de funcionalidad completa, diseñado para el afianzamiento a largo plazo y el control remoto. La comunicación con el servidor de mando y control se realiza sobre HTTP. Antes de entrar en el bucle principal de procesamiento de tareas, el malware envía al operador información básica sobre el sistema.

El conjunto de comandos soportados incluye:

• Operaciones sobre archivos y listado de directorios
• Enumeración de procesos y finalización de procesos por PID
• Ejecución de comandos a través de cmd.exe
• Carga de bibliotecas DLL
• Creación de archivos ZIP
• Persistencia mediante tareas programadas (scheduled tasks)
• Elevación de privilegios mediante el comando runas
• Descarga de cargas útiles adicionales desde el servidor
• Exfiltración de archivos

Cabe destacar por separado la compatibilidad con la actualización dinámica del intervalo de sondeo y del valor de jitter para aleatorizar la frecuencia de las conexiones al servidor de mando y control, un mecanismo que dificulta la detección basada en el análisis del tráfico de red.

Contexto de la amenaza y alcance de las operaciones

Históricamente, Nimbus Manticore se especializa en los sectores de defensa, aviación y telecomunicaciones, empleando señuelos de phishing con temática de oportunidades laborales, un enfoque que ha recibido el nombre de «Iranian Dream Job» por analogía con la Operation Dream Job norcoreana. Un informe paralelo de Palo Alto Networks Unit 42 confirma la intensificación de la actividad del grupo y documenta ataques contra organizaciones en EE. UU., Israel, EAU y otros países de Oriente Medio utilizando MiniUpdate y una versión actualizada, MiniJunk V2. Entre los objetivos, según Unit 42, se encontraba una empresa estadounidense del sector de petróleo y gas.

Los investigadores de Unit 42 destacan la profunda personalización de los señuelos: además de ofertas de trabajo falsas, se utilizaron invitaciones fabricadas a videoconferencias. El grupo desplegó dos familias de variantes de RAT en organizaciones de hasta cinco países, lo que indica recursos operativos significativos.

Importante aclaración: la atribución del grupo a estructuras estatales concretas de Irán se basa en evaluaciones analíticas de empresas de investigación, y no en declaraciones oficiales de gobiernos. La afirmación de Check Point sobre el posible uso de herramientas de inteligencia artificial en el desarrollo de MiniFast también es una hipótesis analítica, basada en indicios indirectos en el código.

Evaluación del impacto

Las organizaciones del sector aeronáutico, los desarrolladores de software, las compañías de petróleo y gas y las empresas de la industria de defensa en EE. UU., Europa, Oriente Medio y Australia se encuentran entre las más expuestas al riesgo. El paso a SEO poisoning amplía el conjunto de posibles víctimas: mientras que el phishing requiere seleccionar intencionadamente a los destinatarios, la página falsa de descarga de SQL Developer supone una amenaza para cualquier desarrollador que busque este software a través de motores de búsqueda. Esto transforma el ataque de dirigido a semi oportunista, aumentando de forma considerable la superficie de ataque.

Recomendaciones de protección

• Bloqueo de IOC: añada el dominio getsqldeveloper[.]com y los recursos asociados a las listas negras de DNS y de los servidores proxy
• Control de fuentes de descarga: descargue Oracle SQL Developer, Zoom y otros programas exclusivamente de los sitios oficiales de los fabricantes. Considere implantar políticas que limiten la instalación de software desde fuentes no verificadas
• Supervisión de AppDomain hijacking: monitorice la carga anómala de DLL por aplicaciones .NET, especialmente desde directorios no estándar. Preste atención a la ejecución de archivos legítimos desde carpetas temporales o directorios de descargas de usuario
• Detección del comportamiento de MiniFast: configure reglas de detección de comunicaciones HTTP con un patrón característico: envío de información del sistema en la primera conexión y posterior sondeo periódico con un intervalo variable. Supervise la creación de tareas programadas y el uso del comando runas desde contextos atípicos
• Formación del personal: lleve a cabo acciones de concienciación específicas para el personal de RR. HH. y especialistas técnicos sobre campañas de phishing con señuelos de empleo e invitaciones falsas a videoconferencias
• Segmentación de red: limite el tráfico HTTP saliente desde las estaciones de trabajo aplicando el principio de mínimo privilegio al acceso de red

Las tres campañas de Nimbus Manticore en tres meses —con un cambio progresivo de vectores de entrega desde el phishing hasta instaladores troyanizados y SEO poisoning— demuestran la capacidad del grupo para adaptar rápidamente sus tácticas. Las acciones prioritarias para las organizaciones de los sectores objetivo son: el bloqueo inmediato del dominio malicioso conocido getsqldeveloper[.]com, la auditoría de las políticas de descarga de software y la implantación de reglas de detección para AppDomain hijacking y los patrones característicos de comunicación HTTP de MiniFast.